Avec l’essor technologique des deux dernières décennies, il a fallu une amélioration et un parachèvement de la législation sur la protection des données. C’est ainsi que le RGPD est venu en renfort aux directives sur la protection des données en vigueur depuis 1995. Les institutions et entreprises de l’Union européenne devront se conformer aux exigences de ce nouveau règlement pour envoyer et recevoir des fichiers et pièces jointes. Qu’est-ce que le RGPD ? Quelles sont les nouvelles normes en vigueur pour le transfert de fichiers ?
Qu’est-ce que le RGPD ? Quels sont ses principaux objectifs ?
Le RGPD est un acronyme qui signifie « Règlement Général sur la Protection des Données » ou en anglais GDPR pour « General Data Protection Regulation ». Voté par l’Union européenne le 14 avril 2016, ce règlement a connu une période transitoire de deux ans avant d’être mis en application le 25 mai 2018. La période transitoire permet à chaque État membre de l’UE d’intégrer les nouvelles règles dans sa législation nationale.
Le RGPD est le texte de référence qui régit les dispositions relatives à la protection des données à caractère personnel des individus vivant au sein de l’UE. Une autorité de protection des données existe dans chaque État membre pour faire appliquer les lois et veiller au respect des principes du RGPD. En France, c’est la CNIL (Commission Nationale de l’Informatique et de la Liberté) qui s’en charge.
Les objectifs du RGPD visent à renforcer plus que jamais la protection des données personnelles des citoyens de l’UE en imposant de nouvelles normes de sécurité aux entreprises qui manipulent ces données. Les principaux objectifs sont :
- harmoniser la protection des données au sein de l’UE ;
- responsabiliser les acteurs de traitement des données ;
- respecter les droits des personnes physiques.
En cas de manquement, des amendes pouvant atteindre 4% du chiffre d’affaires sur le marché précédent sont prévues.
Mais qu’est-ce qui doit changer dans le cadre de l’envoi des fichiers et pièces jointes ?
Une nouvelle réglementation sur les transferts de données hors de l’UE
Le transfert de fichiers hors de l’UE n’est possible, dorénavant, que si l’on dispose d’un niveau suffisant de protection. Il doit être aussi encadré par des outils juridiques bien codifiés. Les données concernées peuvent être les suivantes :
- nom et prénoms ;
- date de naissance ;
- fiche de paie ou salaire ;
- numéro de téléphone ;
- adresse mail et adresse postale personnelles ou professionnelles ;
- adresse IP, si elle est associée à d’autres informations ;
- coordonnées de carte de paiement ;
- numéro de sécurité sociale ;
- cookies ;
- identifiant numérique et autres.
Alors, qu’est-ce qui change concrètement pour les entreprises ?
Le RGPD définit plusieurs mesures de protection pour encadrer les envois de fichiers et pièces jointes.
Fini les envois de fichiers par simple emailing
Les transferts par simple messagerie électronique sont désormais proscrits. Les emails doivent être accompagnés de mesures de protection supplémentaires. Il est recommandé de chiffrer les pièces à transmettre en utilisant par exemple la cryptographie ou le chiffrement ou encore un mot de passe.
Par exemple, vous pouvez envoyer un email protégé par un mot de passe que vous enverrez à votre destinataire par SMS. Il est possible de le lui communiquer aussi directement par téléphone. Vous pouvez également recourir aux versions les plus récentes des protocoles de confidentialité et d’authentification comme SFTP ou HTTPS. Leur rôle est de garantir l’authenticité du serveur destinataire.
Pour les utilisateurs de fax, il faut :
- restreindre l’accès à son local uniquement aux personnes habilitées ;
- s’assurer de l’identité du fax destinataire avant tout envoi ;
- faire accompagner le transfert par fax d’un envoi des documents originaux au destinataire ;
- enregistrer si possible, au préalable, vos destinataires potentiels.
Disposer des outils juridiques de transfert en vigueur
Ils sont de deux ordres. L’emploi de certains outils nécessite une autorisation en amont de la CNIL, d’autres non. Ainsi vous n’aurez pas besoin d’une autorisation préalable de cet organisme, si votre transfert se base sur :
- les BCR ou règles d’entreprise contraignantes pour les entreprises privées multinationales implantées dans plusieurs pays de l’UE ;
- les Clauses Contractuelles Types de protection des fichiers adoptées par la Commission européenne ;
- un code de conduite attesté par une autorité de contrôle;
- une certification approuvée par un organisme national d’accréditation ;
Par contre, l’autorisation de la CNIL s’avère nécessaire lorsque l’envoi de fichiers et pièces jointes est cautionné par :
- des clauses contractuelles spécifiques entre les différents acteurs de traitement d’un fichier ;
- des mesures intégrées dans les compromis administratifs entre autorités et institutions publiques.
Dans des cas exceptionnels, le transfert de fichiers peut se faire par dérogation à ces outils juridiques. Ces situations particulières sont développées dans l’article 49 du RGPD.
La régularisation des newsletters
L’abonnement se fait maintenant par double confirmation. Lorsque vous acceptez, sur un site web, de vous inscrire à leur newsletter, votre abonnement ne sera validé que si vous cliquez sur un lien que vous recevrez par mail. C’est ce qu’on appelle le « double opt-in ».
Le respect du droit des personnes concernées sur leurs données
D’après l’article 4 du RGPD, les utilisateurs doivent être consultés avant toute manipulation de leurs données personnelles. Par conséquent, si un organisme doit vous envoyer des emails, il doit s’assurer au préalable d’avoir votre consentement libre, éclairé, unique et spécifique. Et vous êtes libre de retirer votre consentement à tout moment.
À la lumière de tous ces changements qui s’imposent aux entreprises, il est évident qu’elles doivent prendre appui sur une plateforme conforme aux exigences du RGPD pour être à l’abri des sanctions. Vers qui se tourner ?
NetExplorer est à votre service avec sa plateforme conforme aux exigences du RGPD concernant l’envoi de fichiers et de pièces jointes.
Une plateforme complète pour le transfert des fichiers et pièces jointes
En tant que fournisseur de services, NetExplorer fait tout ce qu’il faut pour répondre aux exigences du RGPD. En plus de ses certifications PCI DSS niveau 3, HDS et ISO 27001 sans oublier son DPO externe et le chiffrement des données, des mesures de protection spéciales sont prises pour les transferts de données.
NetExplorer sécurise vos transferts de fichiers grâce à un lien de téléchargement. C’est en réalité une solution cloud particulièrement adaptée aux professionnels. Vous avez le droit de définir la date d’expiration, le délai d’accès, un mot de passe ainsi que le nombre maximal de téléchargements que vous désirez.
Notre plateforme met également à votre service le « Privacy by Service ». C’est un principe qui limite la collecte des données au minimum nécessaire à votre activité sur la plateforme. Chaque action impliquant le traitement de données personnelles est exécutée dans le strict respect de la vie privée des utilisateurs.
Beaucoup de pratiques en matière d’envoi de fichiers et de pièces jointes ont été remises en cause avec l’avènement du RGPD. Les entreprises devront désormais se confier aux services des plateformes fiables comme NetExplorer. Ainsi, les dirigeants d’entreprises préserveront la vie privée de leurs clients et ne seront pas sanctionnés par la CNIL.
